Wie Microsoft Defender MITRE ATT&CK-Techniken erkennt

Dieser Artikel ist entstanden, weil ich verstehen wollte, wie Microsoft Defender for Endpoint die MITRE ATT&CK-Techniken erkennt. Wenn du Defender installiert hast und wirklich verstehen willst, was im Hintergrund passiert, bist du hier richtig.

Microsoft Defender XDR: Domänenübergreifende ATT&CK-Abdeckung

Wer das MITRE ATT&CK-Framework kennt, weiss, dass effektive Erkennung die Zuordnung jeder Taktik und Technik zu einer konkreten Toolchain erfordert. Microsoft Defender XDR (Extended Detection and Response) konsolidiert Signale aus den Bereichen Identität, Endpunkt, Cloud und E-Mail in einer einheitlichen Erkennungsplattform. Eine detaillierte Einführung in das ATT&CK-Framework selbst findet sich in meinem dedizierten Artikel zu MITRE ATT&CK.

Produkt	Taktik	Wichtige Techniken
Defender XDR	Initial Access, Exfiltration	T1566, T1078, T1528
Defender for Identity	Lateral Movement, Priv. Esc.	T1550.002, T1550.003, T1558.003
Defender for Endpoint	Execution, Persistence, Defense Evasion	T1059, T1547, T1055

Defender XDR deckt nativ ein breites Spektrum an ATT&CK-Taktiken ab: Initial Access (T1566 Phishing, T1190 Exploit Public-Facing Application), Execution (T1059 Command and Scripting Interpreter), Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement und Exfiltration. Die Korrelations-Engine fasst Alerts aus allen Microsoft 365 Defender-Produkten zu Incidents zusammen und reduziert so die Mean Time to Detect (MTTD) bei mehrstufigen Angriffen.

MITRE ATT&CK Enterprise — Abdeckung durch Microsoft Defender XDR, MDI, MDE — MITRE ATT&CK Enterprise — Defender XDR · Defender for Identity · Defender for Endpoint Abdeckung

Wichtige XDR-Erkennungen umfassen Business Email Compromise (BEC)-Ketten, die T1078 Valid Accounts und T1114 Email Collection zugeordnet sind, sowie OAuth-Missbrauch, der T1528 Steal Application Access Token entspricht. Das Threat Analytics-Dashboard liefert techniquebezogene Abdeckungskarten im ATT&CK-Format, mit denen Security-Teams Lücken in ihrer Erkennungspostur auf einen Blick identifizieren können.

💡 Das Threat Analytics-Dashboard wird unterschätzt: In fünf Minuten sieht man genau, wo Abdeckung vorhanden ist und wo nicht — ohne externe Dokumentation zu konsultieren.

Eine Ebene tiefer wird es besonders interessant, wenn es um laterale Bewegung innerhalb von Active Directory geht.

Microsoft Defender for Identity: Laterale Bewegung und Privilege Escalation

Defender for Identity (MDI) überwacht den Active Directory Domain Services-Datenverkehr über einen Sensor, der auf Domain-Controllern installiert wird. Die Erkennungsfähigkeiten sind besonders stark gegen ATT&CK-Techniken, die auf die Identitätsinfrastruktur abzielen.

Für Lateral Movement (TA0008) erkennt MDI:

T1550.002 Pass the Hash — anomale NTLM-Authentifizierungsmuster, bei denen ein Hash systemweit ohne interaktiven Anmeldung wiederverwendet wird.
T1550.003 Pass the Ticket — Wiederverwendung von Kerberos-Tickets von unerwarteten Quell-IPs, charakteristisch für Golden Ticket- oder Silver Ticket-Angriffe.
T1021.002 SMB/Windows Admin Shares — laterale Bewegung über administrative Freigaben, erkannt durch SMB-Sitzungsanalyse.

Für Privilege Escalation (TA0004) deckt MDI ab:

T1134 Access Token Manipulation — Erkennung von Token-Impersonation durch verdächtige Kerberos-Delegierungsanfragen.
T1484.001 Domain Policy Modification: Group Policy Object — Alerts bei nicht autorisierten GPO-Änderungen, die Persistenz oder Privilege Escalation ermöglichen könnten.
T1558.003 Kerberoasting — Erkennung von SPN-Enumeration und anomalen TGS-Anfragen gegen Service-Accounts mit schwachen Passwörtern.

MDI erstellt zudem verhaltensbasierte Baselines pro Entität (Benutzer, Computer, Gruppe), was die Erkennung anomaler Aufklärungsaktivitäten ermöglicht, die T1087 Account Discovery und T1069 Permission Groups Discovery zugeordnet sind — selbst wenn einzelne API-Aufrufe legitim erscheinen.

Auf Endpunktebene nimmt die Erkennungsgranularität nochmals zu.

Microsoft Defender for Endpoint: Execution, Persistence und Defense Evasion

Defender for Endpoint (MDE) liefert Kernel-Level-Telemetrie von Windows-, macOS- und Linux-Endpunkten. Die ATT&CK-Abdeckung auf Endpunktebene ist die granularste der drei Defender-Produkte.

Erkennungen für Execution (TA0002) umfassen:

T1059.001 PowerShell — Die AMSI-Integration erkennt verschleierte Skripte, encodierte Befehle (-EncodedCommand) und bekannte bösartige Cmdlets in Echtzeit.
T1059.003 Windows Command Shell — LOLBin-Ketten wie cmd.exe /c certutil -urlcache -split werden durch Verhaltensregeln markiert.
T1204.002 Malicious File — Die Prozessbaum-Analyse erkennt von Dokumenten gestartete Kindprozesse (Word zu PowerShell, Excel zu WScript) als Indikatoren für Makro-Ausführung.

💡 Die ASR-Regeln von MDE sind die am meisten übersehene und gleichzeitig wirksamste Funktion gegen Commodity-Malware. Es lohnt sich, einige Stunden im Audit-Modus zu verbringen, bevor man sie aktiviert.

Erkennungen für Persistence (TA0003) umfassen:

T1547.001 Boot or Logon Autostart: Registry Run Keys — Die Registry-Schreibüberwachung markiert Einträge unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
T1053.005 Scheduled Task — Die Erstellung geplanter Aufgaben via schtasks.exe oder der Task Scheduler COM-Schnittstelle wird mit der Prozess-Lineage korreliert, um verdächtige Ursprünge zu identifizieren.
T1543.003 Windows Service — Neue Dienst-Installationen mit verdächtigen Binärpfaden oder DLL-Hijacking-Mustern werden über T1574.001 DLL Search Order Hijacking-Regeln markiert.

Defense Evasion (TA0005) ist eine der stärksten Erkennungskategorien von MDE:

T1055 Process Injection — Memory-Scanning erkennt Shellcode-Injektion über VirtualAllocEx-, WriteProcessMemory- und CreateRemoteThread-Ketten.
T1562.001 Disable or Modify Tools — Manipulationen an Windows Defender-Einstellungen via Registry oder PowerShell lösen sofortige Tamper Protection-Alerts aus.
T1027 Obfuscated Files or Information — Entropie-Analyse auf auf Disk abgelegten Skripten und Binärdateien identifiziert Packing oder Encoding, das von der Baseline abweicht.

Zu wissen, was abgedeckt ist, ist nur die halbe Miete — die andere Hälfte ist zu wissen, wie man auf diese Daten reagiert.

Operative Empfehlungen

Die Zuordnung von Defender-Produkten zu ATT&CK hat nur dann Mehrwert, wenn sie operationalisiert wird. Konkrete Massnahmen für Security-Teams:

ATT&CK-Abdeckungsbewertung in Defender XDR ausführen (Threat Analytics dann Coverage). Techniken ohne Erkennungsregel identifizieren und priorisiert für eigene Detection-Regeln vorsehen.
Alle MDI-Sensoren auf Domain-Controllern, ADFS- und AD CS-Servern aktivieren. Die Angriffsfläche von Active Directory Certificate Services — einschliesslich ESC1-ESC8-Zertifikatvorlagen-Missbrauch — wird nur abgedeckt, wenn der MDI-Sensor auf dem CA-Server installiert ist.
MDE Attack Surface Reduction (ASR)-Regeln zuerst im Audit-Modus konfigurieren, dann in den Enforcement-Modus wechseln. Regeln für T1059, T1204 und T1547 reduzieren den Blast Radius von Commodity-Malware erheblich, ohne legitime Workloads zu beeinträchtigen.
MDI-Alerts für laterale Bewegung mit MDE-Prozessausführungs-Timelines korrelieren. Ein Pass-the-Hash-Alert in MDI, der zeitlich mit einem mimikatz-ähnlichen Speicherzugriff in MDE auf dem Quellgerät zusammenfällt, ist ein hochkonfidenter Nachweis für Credential Dumping gefolgt von lateraler Bewegung.
Defender XDR-Incidents nach Microsoft Sentinel exportieren für Langzeitaufbewahrung und ATT&CK-getaggte Hunting-Abfragen. KQL-Abfragen mit Scope auf spezifische Technik-IDs operationalisieren das Framework im grossen Massstab.

Die Defender-Suite bietet solide ATT&CK-Abdeckung out-of-the-box, weist jedoch Lücken auf — insbesondere bei cloud-nativen Techniken (T1537 Transfer Data to Cloud Account, T1619 Cloud Storage Object Discovery), die Defender for Cloud Apps in lizenzierter und konfigurierter Form erfordern. Regelmässige Lückenanalysen gegen die ATT&CK-Matrix, kombiniert mit Purple Team-Übungen für nicht abgedeckte Techniken, bleibt der zuverlässigste Weg zur Aufrechterhaltung der Erkennungseffektivität.

Diese Analyse hat mir geholfen, Defender viel besser zu verstehen. Falls du Fragen hast oder deine Erfahrungen mit ATT&CK und Defender teilen möchtest, schreib mir gerne.